Ende September 2023 gab es Sicherheitsupdates für diverse Software, die kritische Schwachstellen (0-Days) schließen sollen. Bei den Chromium-Browsern wurde eine Sicherheitslücke im V8 Encoder geschlossen (betrifft Google Chrome und beim Edge). Die Mozilla Entwickler haben ebenfalls Notfall-Updates für den Firefox und den Thunderbird herausgebracht. Und Tor wurde diesbezüglich ebenfalls aktualisiert. Ich fasse mal die Updates in diesem Sammelbeitrag zusammen.
Ich hatte ja bereits im Blog-Beitrag WebP-Schwachstelle (CVE-2023-5129) betrifft mehrere Software-Pakete wie Webbrowser über eine Schwachstelle in einer Bibliothek berichtet, die auch Web-Browser betrifft. Es war also mit Updates zu rechnen.
Browser-Updates Chrome/Firefox
Sowohl Google (Google Chrome 117.0.5938.132) als auch Mozilla (Firefox 118.0.1, 118.1.0 und 115.3.1) hatten reagiert und Sicherheitsupdate veröffentlicht. Zudem gibt es von LibreOffice Sicherheitsupdates LibreOffice 7.6.2 und LibreOffice 7.5.7 fixen CVE 2023-4863.
Zudem scheint es weitere Schwachstellen in Browsern zu geben (CVE-2023-5217: Heap buffer overflow in libvpx). Fefe hatte in diesem Beitrag auf den Artikel A new Chrome 0-day is sending the Internet into a new chapter of Groundhog Day von Arstechnica verlinkt. Der 0-Day wurde im Chrome 117.0.5938.132, Firefox 118.0.1, Firefox ESR 115.3.1, Firefox for Android 118.1 und Firefox for Android 118.1 gepatcht. Auch das Tor-Projekt hat reagiert und Tor 12.5.6 mit aktualisiertem Firefox veröffentlicht (siehe).
Edge 117.0.2045.47 / 116.0.1938.98
Microsoft hat den Edge-Browser im Stable-Channel zum 29. September 2023 auf die Version 117.0.2045.47 aktualisiert (Release Notes). Im Extended Stable-Channel wurde der Browser auf die Version 116.0.1938.98 aktualisiert (Release Notes). Gemäß den Release Notes schließen beide Sicherheitsupdates die Schwachstelle CVE-2023-5217.
Thunderbird 115.3.1
Die Mozilla-Entwickler haben die kritische Sicherheitslücke CVE-2023-5217 zum 29. September 2023 im Thunderbird 115.3.1 geschlossen. Gemäß den Release Notes gibt es neben dem hier dokumentierten Sicherheitsfix noch weiter Bug-Fixes:
- In der Ansicht „Vereinheitlichte Ordner“ hatten einige Ordner ein falsches übergeordnetes Element für vereinheitlichte Ordner
- Bei der Funktion „Nachricht als neu bearbeiten“ wurde der verschlüsselte Betreff der ausgewählten Nachricht nicht wiederhergestellt
- Der Import einiger CalDAV-Kalender mit jährlich wiederkehrenden Terminen führte zum Einfrieren von Thunderbird
Der Mail-Client sollte sich inzwischen bei allen Nutzern automatisch aktualisiert haben.
Inzwischen gibts Chrome 117.0.5938.180 und 117.0.5938.188, auch Edge hat nochmal mit einer CVE nachgezogen, Chaos pur!
Unter *ubuntu 22.04 LTS ohne SNAP wurde scheinbar gestern endlich die 115 (.3.1) über die stable ppa freigeschaltet, vorher hatte ich darüber nur die 102er erhalten.